Avocats-Publishing Avocats en propriété intellectuelle et droit des affaires à Paris et Bruxelles
6, place Saint Sulpice - 75006 Paris >>> Tél. : Tél. : 01 45 44 10 33

Droit et Internet

Se lancer dans l’e-mailing

Séminaire NAOS TECHNOLOGIES du 7 juin 2007

jeudi 7 juin 2007

par Anne Pigeon-Bormans, Avocat au Barreau de Paris

Une synthèse des différentes recommandations de la CNIL incluant la législation en vigueur et les avis de ladite commission.

I - Présentation de la CNIL et de ses missions

La CNIL (commission nationale informatique et libertés) a été créé en 1978 (Loi du 6 janvier 1978, suite à une polémique autour d’un projet gouvernemental destiné à à identifier chaque citoyen et d’interconnecter sur cet identification tous les fichiers de l’administration (projet SAFARI). Cette loi de 1978 a été modifiée et complétée par celle du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

Les données personnelles

Toute information relative à une personne physique identifiée ou susceptible de l’être, directement ou indirectement par référence à un numéro d’identification (ex : numéro de sécurité sociale) ou un ou plusieurs éléments qui lui sont propres (ex/ initiales du nom et prénom avec recoupement d’informations de type, date de naissance, commune de résidence, éléments biométriques).

Traitement de données

Un traitement de données vise la collecte, l’enregistrement, l’utilisation ou la communication d’informations personnelles ainsi que toute exploitation de fichiers ou bases de données, notamment des interconnexions.

- Les missions de LA CNIL

D’une manière générale, la CNIL veille à ce que l’informatique ne porte atteinte ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. C’est une autorité administrative indépendante qui est composée de 17 personnalités qui se réunie 2 à 3 fois par mois, examine les projets de loi qui lui sont soumis pour avis par le gouvernement. Elle adopte des avis ou des autorisations sur des traitements ou des fichiers. Elle établit des rapports sur des questions intéressant l’évolution informatique.

Depuis la loi du 6 août 2004, une commission de 6 membres peut prononcer des sanctions allant de l’avertissement à l’amende à l’encontre des responsables de traitement qui ne respectent pas la loi.

- Plus précisément, la CNIL :

- informe les personnes
- propose au gouvernement (avis)
- garantit le droit d’accès aux données contenues dans les traitements
- exerce pour le compte des citoyens qui le souhaitent l’accès aux fichiers intéressant la sûreté de l’Etat (défense, RG, PJ...)
- recense les fichiers
- contrôle et use de pouvoirs de vérifications et d’investigation pour instruire les plaintes et peut prononcer des sanctions graduées allant de l’avertissement, mise en demeure et sanctions pécuniaires jusqu’à 300 000 €
- règlemente, en établissant des normes simplifiées pour les traitements les plus courants et les moins dangereux.

- Les droits "informatiques & libertés"

Toute personne peut s’adresser à la CNIL pour être aidée dans l’exercice des droits ci-après :

- Droit d’information auprès de tel ou tel organisme, pour savoir si on est fiché ;
- Droit d’accès à l’intégralité des informations sous forme accessible et droit d’en obtenir une copie ;
- Droit de rectification et de radiation si les informations collectées ne le sont pas régulièrement ;
- Droit d’opposition des informations à des fins publicitaires ou de prospection commerciale et droit d’opposition à la cession des données (l’utilisation d’automate d’appels téléphoniques, de fax ou de messages électroniques à des fins publicitaires est interdite si les personnes n’y ont pas préalablement consenti) ;
- Droit d’accès indirect via la CNIL aux informations enregistrées dans les fichers intéressant la sûreté de l’Etat, la défense ou le sécurité publique.

Au niveau européen

C’est la directive du 24 octobre 1995 qui harmonise au sein des Etats membres la protection assurée à toute personne quelque soit le lieu où sont opérés les traitements des données à caractère personnel. A ce jour, tous les Etats membres ainsi que les pays de l’Espace Economique Européen, ont une loi informatique et libertés et d’une autorité de contrôle indépendante.

II - La prospection électronique y compris par SMS et MMS

L’article 22-II de la loi du 21 juin 2004, pour la confiance dans l’économie numérique dispose que :

"Est interdite la prospection au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d’une personne physique qui n’a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen. ...
...
Toutefois, la prospection directe par courrier électronique est autorisée si les coordonnées du destinataire ont été recueillies directement auprès de lui, dans le respect des dispositions de la loi du 6 janvier 1978 relative à l’informatique et aux libertés, à l’occasion d’une vente ou d’une prestation de services, si la prospection directe concerne des produits ou services analogues fournis par la même personne physique et morale, et si le destinataire se voit offrir, de manière expresse et dénuée d’ambiguité, la possibilité de s’opposer sans frais , hormis ceux liés à la transmission du refus, et de manière simple, à l’utilisation de ses coordonnées lorsque celles-ci sont recueillies et chaque fois qu’un courrier électronique de prospection lui est adressé."

1 - Pour les particuliers

Principe : pas de message commercial sans accord préalable du destinataire. La publicité par courrier électronique est possible à condition que les personnes aient explicitement donné leur accord pour être démarchées, au moment de la collecte de leur adresse électonique.

Deux exceptions à ce principe :

- la personne prospectée est déjà cliente de l’entreprise
- la prospection n’est pas de nature commerciale, caritative par exemple.

Dans ces deux cas, la personne doit, au moment de la collecte de son adresse de messagerie :

• être informée que son adresse électronique sera utilisée à des fins de prospection ;

• être en mesure de s’opposer à cette utilisation de manière simple et gratuite.

2 - Pour les professionnels

Principe : information préalable et droit d’opposition.

La personne doit, au moment de la collecte de son adresse de messagerie :

• être informée que son adresse électronique sera utilisée à des fins de prospection,
• être en mesure de s’opposer à cette utilisation de manière simple et gratuite.

L’objet de la sollicitation doit être en rapport avec la profession de la personne démarchée (exemple : message présentant les mérites d’un logiciel à paul.toto@nomdelasociété , directeur informatique.)

Les adresses professionnelles génériques de type info@nomsociete.fr, contact@nomsociete.fr, commande@nomsociete.fr... sont des coordonnées de personnes morales. Elles ne sont pas soumises aux principes du consentement et du droit d’opposition.

3 - Dans tous les cas :

Chaque message électronique doit obligatoirement :

• préciser l’identité de l’annonceur,

• proposer un moyen simple de s’opposer à la réception de nouvelle sollicitations (par exemple prévoir un lien pour se désinscrire à la fin du message).

La CNIL recommande que le consentement préalable ou le droit d’opposition soit recueilli par le biais d’une case à cocher. L’utilisation d’une case pré-cochée est à proscrire car contraire à la loi.

4 - Législation applicable et sanctions

• Article L.34-5 du Code des postes et des communications électroniques
• Article.L.121-20-5 du Code de la consommation.
 
- Amende de 750 € par message expédié

Contravention de la 4e classe prévue par l’article R.10-1 du code des postes et des communications électroniques

- 5 ans emprisonnement et 300 000 € amende. Délits prévus par les articles 226-18 et 226-18-1 du code pénal :

Article 226-18 (Loi nº 94-548 du 1 juillet 1994 art. 4 Journal Officiel du 2 juillet 1994) (Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002) (Loi nº 2004-801 du 6 août 2004 art. 14 Journal Officiel du 7 août 2004)

"Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende."

Article 226-18-1 (inséré par Loi nº 2004-801 du 6 août 2004 art. 14 Journal Officiel du 7 août 2004)

"Le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende."

- Jusqu’à 300 000 € d’amende

Sanction prononcée par la CNIL, prévue par l’article 47 de la loi informatique et libertés modifiée.

Lire sur avocats-publishing, l’article de Koumba Koné : [La prospection commerciale sur internet, un délit pénal ? A propos d’une décision de la cour de cassation du 14 mars 2006->http://www.avocats-publishing.com/La-prospection-commerciale-sur-l]

III - La Collecte d’adresses et la déclaration des fichiers

La possibilité de désigner un correspondant informatique et libertés dans les entreprises (voir ci-après la présentation du CIL), associations, collectivités locales, permet de bénéficier d’allègement dans les formalités et de se garantir d’une mauvaise application du droit en vigueur.

- Obligations des responsables des fichiers

- Notifier la mise en oeuvre du fichier, sauf dispense prévus par la loi ou la CNIL
- Mettre les personnes en mesure d’exercer leurs droits en les informant.
- Assurer la sécurité et la confidentialité des informations
- Se soumettre au contrôle et à la vérification sur place de la CNIL, répondre à toute demande de renseignements formulées dans le cadre de ses missions.

Afin d’être en conformité avec la loi informatique et libertés, il convient de déclarer son fichier d’adresses de messageries auprès de la CNIL conformément à l’article 23 de la loi du 6 janvier 1978 modifiée (voir rubrique Déclarer du site de la cnil.) Tout manquement à cette obligation est sanctionné par l’article 226-16 du code pénal (5 ans d’emprisonnement et 300 000 euros d’amende). De respecter les règles relatives à la collecte. Les adresses de messageries utilisées à des fins de prospection doivent avoir été collectées de manière loyale. Ceci signifie que les personnes ont été informées lors de la collecte de leur adresse électronique de l’utilisation de leur adresse ou de sa cession à des tiers à des fins de prospection commerciale. LA CNIL recommande que le droit d’opposition ou le recueil du consentement puisse s’exercer directement à partir du formulaire de collecte par l’apposition d’une case à cocher.

La loi pour la confiance dans l’économie numérique a aménagé une période transitoire d’une durée de 6 mois à compter de sa publication, à compter du 22 juin 2004 qui devaient permettre aux entreprises de mettre leurs fichiers en conformité avec la loi en adressant un courrier électronique aux personnes afin de recueillir leur consentement, l’absence de réponse équivalant à un refus d’être démarché.

Il est interdit de faire de la prospection à partir d’adresses de courriers électoniques collectées dans les espaces publics de l’internet (site web, annuaire, forum de discussion...).

La collecte doit être loyale, c’est à dire que la personne a été informée d’une telle utilisation et mise en mesure soit d’y consentir soit de s’y opposer dans certains cas. S’il s’agit d’un fichier loué et/ou acheté auprès de prestataires spécialisés, vous devez vous assurez contractuellement que les adresses électroniques utilisées ont été collectées de manière régulière.

Le recueil du consentement peut-être effectué selon les modèles fournis par les codes de déontologie du SNCD et de l’UFMD qui prévoient que le consentement peut-être obtenu par le biais d’une case à cocher sur chaque formulaire de collecte, ce qui constitue une préconisation constante de la CNIL.

1 - Déclarer son fichier d’adresses de courriers électroniques auprès de la CNIL

Conformément à l’article 23 de la loi du 6 janvier 1978 modifiée, tout traitement automatisé d’informations nominatives comportant des adresses électroniques doit être déclaré auprès de la CNIL. A toutes fins utiles, reportez-vous à la Rubrique "Déclarer" du site web de la CNIL. Tout manquement à cette obligation est sanctionné par l’article 226-16 du Code pénal (5 ans d’emprisonnement et 300 000 euros d’amende).

- Qui déclare ?

Un fichier ou un traitement de données personnelles doit être déclaré par la personne qui en est responsable, c’est-à-dire celle qui décide de sa création, qui détermine à quoi il va servir et selon quelles modalités.

- Quand déclarer ?

Il faut déclarer préalablement à la mise en oeuvre du traitement ou fichier contenant des données personnelles.

- Quelle déclaration choisir ?

Le choix de la déclaration à effectuer dépend de l’organisme qui met en œuvre le fichier ou le traitement, de la finalité de ce fichier ou de ce traitement et des données personnelles utilisées.

En pratique la CNIL propose deux types de formulaires :

- Les déclarations de conformité

Ce sont des formulaires allégés qui permettent de certifier qu’un fichier ou un traitement de données personnelles est conforme à un modèle déjà défini.

- La déclaration normale

C’est le formulaire à utiliser dans tous les autres cas, y compris pour les demandes d’autorisation applicables aux fichiers sensibles ou à risques.
En cas d’hésitation, c’est le formulaire à choisir.

- Que faire de la déclaration remplie ?

Si vous avez effectué une télédéclaration, vous recevez immédiatement après envoi un accusé de réception électronique. Si vous avez un dossier papier vous adresser à la CNIL l’ensemble des documents (formulaire + éventuels documents complémentaires), soit par envoi recommandé avec demande d’avis de réception postal à :

La CNIL,
8, rue Vivienne
CS 30223
75083 Paris cedex 02

Soit par dépôt auprès de la CNIL contre reçu.

Ne pas confondre l’accusé de réception d’un dossier de déclaration adressé à la CNIL avec le récépissé de déclaration délivré par la CNIL qui constitue le seul feu vert pour la mise en œuvre d’un fichier ou d’un traitement de données personnelles.

Le récépissé de déclaration

Après avoir vérifié qu’un dossier de déclaration est complet, la CNIL délivre un récépissé de déclaration : c’est le feu vert pour la mise en œuvre d’un fichier ou d’un traitement de données personnelles. Ce récépissé de déclaration indique le numéro sous lequel un traitement déclaré est enregistré à la CNIL. Ce numéro d’enregistrement doit être rappelé dans toute correspondance ou tout contact avec la CNIL à propos.du traitement déclaré. Si votre déclaration fait état de transferts de données vers des Etats n’assurant pas un niveau de protection suffisant à l’égard du traitement des données, le récépissé peut comporter une demande de suspension du transfert, voire une interdiction pure et simple de ce transfert.

La délivrance du récépissé par la CNIL

Lorsque la CNIL dispose d’une adresse électronique valide, que la déclaration ait été effectuée en ligne ou par un formulaire papier, le récépissé de déclaration est envoyé par email. L’adresse électronique utilisée pour cet envoi est, par défaut, celle du déclarant. En l’absence d’adresse électronique valide, le récépissé de déclaration est délivré en format papier par voie postale.

Que faire en cas de ?

- Modification d’un traitement déclaré

Il convient de préciser l’objet de la modification en adressant à la CNIL soit un simple courrier, soit un formulaire de déclaration normale en cochant préalablement la case "déclaration de modification". Il convient de mentionner le numéro CNIL d’enregistrement de la déclaration initiale, de rappeler vos coordonnées et si possible votre numéro SIRET.

- Suppression d’un traitement déclaré

Il convient de le signaler à la CNIL en utilisant le formulaire adéquat.

- Cas particuliers et exceptions à l’obligation de déclarer

- Vous êtes un particulier agissant dans le cadre d’activités exclusivement personnelles, vous ne déclarez pas les fichiers et les sites internet qui concernent votre vie privée ou familiale comme votre carnet d’adresses ou votre site perso si l’accès est réservé à un nombre limité de personnes.

- Vous êtes  :

• une église,
• un parti politique,
• un syndicat,
• un organisme ou une association à caractère religieux, politique, philosophique ou syndical, vous ne déclarez pas votre fichier de membres, d’adhérents ou de personnes qui sont en contact régulier avec vous.

- Vous exercez une activité professionnelle dans le domaine artistique (écrivain, cinéaste, éditeur... ), vous ne déclarez pas les traitements de données personnelles utilisés dans le cadre de cette activité (livres, films, TV...).

- Vous êtes responsable d’un traitement et
 
Vous êtes domicilié dans un autre État membre de la Communauté européenne.
Vous habitez en dehors de la Communauté européenne et les données personnelles que vous gérez ne font que transiter par la France.

- Vous mettez en oeuvre un traitement de comptabilité générale ou vous êtes dispensés de déclarations (voir les dispense de déclaration sur le site de la CNIL). En effet, n’ont plus désormais à lui être déclarées depuis le 9 mai 2006, les listes d’adresses de contacts et correspondants constituées par des organismes publics ou privés à des fins d’information ou de communication externe dans les conditions suivantes :

• Le fichier doit se limiter aux informations sur l’identité des personnes, leurs adresses (y compris électronique), numéros de téléphone ou de télécopie, titres et fonctions. Les centres d’intérêts des personnes peuvent être collectés. En effet cette information est souvent demandée afin de personnaliser le contenu du message envoyé. Toutefois l’information relative aux centres d’intérêts ne doit pas faire apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes ou des éléments relatifs à la santé ou à la vie sexuelle des personnes.

• Le traitement doit avoir pour seul objectif la constitution d’un fichier à des fins d’information ou de communication externe : tel est par exemple le cas de l’abonnement à la lettre municipale, la tenue d’un fichier de journalistes pour l’envoi d’informations ou encore la gestion des convocations aux assemblées générales pour les actionnaires, la collecte d’informations à partir de la rubrique "contact" d’un site web.

La dispense de déclaration ne s’applique pas à un fichier ayant pour objet l’envoi de sollicitations commerciales ou encore le démarchage politique et électoral. Elle ne s’applique pas non plus si le responsable du traitement envisage de commercialiser sa base de contacts à des fins de prospection.

• Le fichier peut être constitué à partir d’une collecte opérée via un site web. Dans cette hypothèse, l’exploitation des données de connexion aux seules fins statistiques d’estimation de la fréquentation du site est possible. Les fichiers qui n’entrent pas le cadre fixé par cette décision de dispense restent en revanche soumis à une déclaration préalable auprès de la CNIL.

Dans tous les autres cas, obligation de déclaration du fichier à la CNIL. 

2 - L’information des personnes

Avant de mettre en œuvre un fichier ou d’un traitement de données personnelles, il faut respecter l’obligation d’information des personnes. La loi « informatique et libertés » prévoit que les personnes auprès desquelles sont collectées des données à caractère personnel soient informées sur chaque formulaire de collecte d’informations : 

• de l’identité du responsable de traitement ; 
• de leur droit d’accès et de rectification aux données collectées ; 
• des destinataires des informations collectées ; 
• du caractère obligatoire ou facultatif des informations collectées et les conséquences d’un défaut de réponse ; 
• de la finalité du traitement des données collectées.

Offrir systématiquement dans chaque message une possibilité de désinscription par tous moyens qu’il s’agisse de retrait en ligne de la liste des adresses de courriers électroniques utilisées, par envoi d’un message qui pourra être suivi d’un accusé de réception, ou sur une page web accessible d’un simple « clic » figurant dans le message commercial.

Attention : Les réclamations reçues par la CNIL font apparaître que les liens de désinscription ne fonctionnent pas toujours, lorsqu’ils existent. Une fois la désinscription demandée par l’internaute, l’effacement de ses données doit s’effectuer dans les plus courts délais. Enfin, indiquez sur la page de désinscription le nom et les coordonnées du responsable du traitement et du propriétaire du fichier source s’il est différent du responsable du traitement. Répercutez l’action de désinscription ou d’opposition au responsable du traitement et à l’annonceur lorsque cette demande s’adresse à l’annonceur.

En matière d’envoi de lettres d’information/newsletter, assurez-vous de l’inscription préalable de la personne demandant l’envoi de telles lettres et de sa possibilité de pouvoir se désabonner à tout moment, notamment lors de l’envoi de chaque lettre d’information.

Aller plus loin :

- Codes de déontologie de l’e-mailing validés par la CNIL

- Code du Syndicat National de la Communication Directe (voir document joint)

PDF - 92.2 ko
Code de déontologie du syndicat national de la communication directe
Avis conforme de la CNIL du 22 mars 2005

]

Voir en ligne : E-NEWS, solution d’e-mailing

Suivre la vie du site RSS 2.0 | | Plan du site
Avocats paris - Droit d'auteur, droit des marques et de la création d'entreprise
Avocats paris - Droits d'auteur, droit des marques, droit à l'Image et vie privée